盡管這輪攻擊所采用惡意軟件尚未確定,但一些研究人員推測(cè)它是Petya的一種變體,此種勒索軟件不是針對(duì)單個(gè)文件而是對(duì)整個(gè)硬盤驅(qū)動(dòng)器進(jìn)行加密。 Check Point以色列捷邦安全軟件科技有限公司的分析顯示,這次攻擊也采用了Loki Bot來進(jìn)行憑據(jù)盜竊。分析還發(fā)現(xiàn)此款勒索軟件采用“橫向移動(dòng)”(Lateral Movement) 方式進(jìn)行攻擊,能充分利用服務(wù)器信息區(qū)塊(SMB)的漏洞。
Check Point研究實(shí)驗(yàn)室發(fā)表的簡(jiǎn)報(bào)詳情如下:
- Loki-Bot惡意軟件的感染鏈如下:RTF文件下載受感染的xls,其中包含惡意的js腳本,從而從另一個(gè)放置區(qū)域提取可執(zhí)行文件,可執(zhí)行文件是Loki Bot。
- Petya 勒索軟件利用SMB漏洞進(jìn)行“橫向移動(dòng)”攻擊,這與WannaCry中使用的漏洞有點(diǎn)不同。我們會(huì)持續(xù)更新具體細(xì)節(jié)。
- Loki Bot的感染載體如下:包含RTF文件的惡意電子郵件。 RTF利用CVE-2017-0199下載xlsx誘餌文件。 “xlsx”文件的二進(jìn)制文件包含由RTF文件執(zhí)行的js腳本。當(dāng)它運(yùn)行時(shí),腳本下載Loki的exe文件并執(zhí)行它。
- 目前仍然沒有確定Loki-Bot與勒索軟件攻擊有關(guān)。
- Petya的“橫向移動(dòng)”利用服務(wù)器信息區(qū)塊(SMB)協(xié)議和HTTP流量,受感染的機(jī)器通過發(fā)送ARP請(qǐng)求掃描內(nèi)部網(wǎng)絡(luò)。然后對(duì)此進(jìn)行回應(yīng)的機(jī)器將啟動(dòng)SMB通信,稍后添加HTTP通信。最終,這兩臺(tái)機(jī)器都被加密,通信停止。
Check Point正密切關(guān)注該勒索病毒的攻擊,并會(huì)及時(shí)發(fā)表更新簡(jiǎn)報(bào)。以下是Check Point 關(guān)于抗拒勒索軟件的方案建議:
- 采用Check Point SandBlast, SandBlast Agent 和 Anti-Bot防御 Petya 勒索軟件和Loki Bot的攻擊
- Check Point IPS可防御相關(guān)的SMB漏洞
- Sandblast: https://www.checkpoint.com/products/sandblast-network-security/
- Sandblast Agent:https://www.checkpoint.com/products/endpoint-sandblast-agent/
- Anti-bot:https://www.checkpoint.com/products/anti-bot-software-blade/
- IPS:https://www.checkpoint.com/products/ips-software-blade/
點(diǎn)擊以下鏈接查看我們的深度分析:
http://freports.us.checkpoint.com/petyavar/
http://freports.us.checkpoint.com/petyavar/
Check Point以色列捷邦安全軟件科技有限公司
Check Point以色列捷邦安全軟件科技有限公司(www.checkpoint.com.cn)是全球最大的專注于安全的解決方案提供商,為各界客戶提供業(yè)界領(lǐng)先的解決方案抵御惡意軟件和各種威脅。Check Point提供全方位的安全解決方案包括從企業(yè)網(wǎng)絡(luò)到移動(dòng)設(shè)備的安全保護(hù),以及最全面和可視化的安全管理方案。Check Point現(xiàn)為十多萬不同規(guī)模的組織提供安全保護(hù)。
